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This watchdog timer has a monostable flip flop controlled by pulses of the microprocessor. The watchdog timer (12) is 
cyclically tested by the pulses (40) of the microprocessor (1 1 ) being suppressed and the time (tWD) from the suppression 
(T1) being measured until the monostable flip flop outputs a reset pulse (41), and this time (tWD) being compared with a 
tolerance band (Tmax - Tmin), the shortest time (Tmin) of which is equal to or greater than the period between two pulses 
(40) of the microprocessor and th e lon ger time of which is selected as a function of the error tolerance time of the system 
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© Verfahren zum Uberwachen eines elnen Mikroprozessor uberwachenden Watchdog-Timers und 
Vorrlchtung zur DurchfUhrung des Verfahrens. 



© Verfahren zum Uberwachen eines einen Mikro- 
prozessor uberwachenden Watchdog-Timers, der 
eine von Impulsen des Mikroprozessors gesteuerte 
monostabile Kippstufe aufweist. Der Watchdog-Ti- 
mer (12) wird ^yklisch getestet, indem die Impulse 

(40) des Mikroprozessors (11) unterdruckt und die 
Zeit (two) ab der Unterdriickung (Ti ) gemessen wird, 
bis die monostabile Kippstufe einen Resetimpuls 

(41) abgibt, und dafl diese Zeit (two) rnit einem 
Toleranzband (T max - T mln ) verglichen wird, dessen 
kiirzeste Zeit (T mjn ) gleich oder grower ist als die 

^iDauer zwischen zwei Impulsen (40) des Mikropro- 
^zessors und dessen langere Zeit in Abhangigkeit der 
^ Fehlertoleranzzeit des von dem Mikroprozessor ge- 
Lf) steuerten Systems gewahlt ist. 



in 

CO 




Xerox Copy Centre 



5NSDOCID: <EP 0315054A2 I > 



1 



EP 0 315 054 A2 



2 



Verfahren zum Uberwachen eines einen Mikroprozessor uberwachenden Watchdog-Timers und Vor- 

richtung zur DurchfUhrung des Verfahrens 



Die vorliegende Erfindung bezieht sich auf ein 
Verfahren zum Uberwachen eines einen Mikropro- 
zessor uberwachenden Watchdog-Timers sowie auf 
eine Vorrichtung zur DurchfUhrung des Verfahrens 
gema/3 den Oberbegriffen der unabhangigen An- 
spruche 1 und 4. 

Es 1st bekannt einem Mjkrocomputer beispiels- 
weise zur Steuerung einer brennstoffbeheizten 
Warmequeile einen Watchdog-Timer zuzuordnen, 
der die Funktion des Mikroprozessors uberwacht. 
Dies geschieht normalerweise mit Hiife einer retrig- 
gerbaren monostabilen Kippstufe, die vom Pro- 
gramm des Mikrocomputers zyklisch Retrigger-lm- 
pulse erhalt und im FaKe des Ausbleibens dieser 
impulse ein Rucksetzen des Mikrocomputers be- 
wirkt, so da/3 dieser das von ihm uberwachtei Gerat 
neu in Betrieb nehmen muj3. 

Soil nun eine Mikrocomputersteuerung zum 
Beispiel in einem Umlaufwasserheizer auch sicher- 
heitsrelevante Funktionen ubernehmen, zum Bei- 
spiel die des Feuerungsautomaten, so ist eine 
Oberwachung der FunktionstGchtigkeit des 
Watchdog-Timers erforderlich. 

Der voriiegenden Erfindung iiegt daher die Auf- 
gabe zugrunde. ein Verfahren anzugeben, mit dem 
diese Oberwachung mogiich ist. Daruber hinaus 
soil eine Vorrichtung /aufgezeigt werden, die diese 
Oberwachung durchfuhrt. 

Die Losung der Aufgabe Iiegt erfindungsgemaj3 
darin. dafl der Watchdog-Timer zyklisch getestet 
wird, indem die Impulse des Mikroprozessors un- 
terdruckt und die Zeit ab der UnterdrQckung ge- 
messen wird, bis die monostabile Kippstufe oinen 
Resetimpuls abgibt, und dai3 diese Zeit mit einem 
Toleranzzeitband verglichen wird, dessen kOrzeste 
Zeit gleich oder grofler ist als die Dauer zwischen 
zwei Impulsen des Mikroprozessors und dessen 
langere Zeit in Abhangigkeit der Fehlertoleranzzeit 
des von dem Mikroprozessor gesteuerten Systems 
gewahlt ist. 

Durch diese Ausgestaltung erreicht man den 
Vorteil, da/3 ein relativ einfach aufgebauter 
Watchdog-Timer auch in sicherheitsrelevanten 
Steuerungen eingesetzt werden kann. Es ergibt 
sich die Moglichkeit, die Mikroprozessorsteuerung 
in Zweikanalbauweise aufzubauen, weii hierbei ein 
Selbsttest in grofleren Zeitabstanden ausreicht. Ein 
Aufbau in Einkanalbauweise ist praktisch unmog- 
lich, weil dann der Mikroprozessor mit dem perma- 
nenten Selbsttest ausschliei3lich beschaftigt ware. 

Weitere Ausgestaltungen und besonders vor- 
teilhafte Weiterbildungen der Erfindung sind aus 
den ubrigen Unteranspruchen ersichtlich. 
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Anhand der Figuren 1 bis 3 der Zeichnung wird 
im folgenden ein Ausfuhrungsbeispiel des erfin- 
dungsgema/Jen Verfahrens und der Vorrichtung na- 
her erlautert. 
5 Es zeigen: 

Figur 1 ein Prinzipschaltbild eines Umiauf- 
wasserheizers, 

Figur 2 ein Blockschaltbild und 
Rgur 3 ein Diagramm. 

10 

Vorab soli darauf hingewiesen werden, da/3 die 
erwahnten Baueiemente sowohi Einzeibauelemente 
in DigiW- oder Analogtechnik sein konnten, Bei- 
spiel: die bistabiie Kippstufe, die in Analogtechnik 

75 als RC-Glied ausgebildet sein konnte, aber auch 
Teile eines Mikroprozessors selbst sein konnten. 
Die bistabiie Kippstufe konnte beispielsweise als 
Zahler dargestellt werden, der mit dem Anstofiim- 
puls zu zahlen beginnt und nach Erreichen seiner 

20 eingestellten Schaltschwelle sich selbst wieder zu- 
rucksetzt und den Resetimpuls abgibt. 

Ein Umlaufwasserheizer 1 weist im wesentli- 
chen einen von einem Brenner 2 beheizten War- 
metauscher 3 auf, der an eine RQcklaufieitung 4 

25 und eine mit einem Temperaturfuhler 5 versehene 
Vorlaufleitung 6 angeschlossen ist Der Brenner 2 
wird aus einer mit einem Magnetventil 6 versehe- 
nen Gasleitung 7 gespeist. Eine Spule 8 des Ma- 
gnetventils wird uber eine AusgangsJeitung 9 einer 

30 Steuer-und Regeleinheit 10 gesteuert, wobei letzte- 
re Teil einer Mikroprozessoreinheit 11 ist. Die Mi- 
kroprozessoreinheit weist neben der Steuer- und 
Regeleinheit einen Watchdog-Timer 12 und eine 
Watchdog-Timer-Oberwachungseinheit 13 auf, die 

35 beide uber eine Leitung 14 miteinander verbunden 
sind. Der Watchdog-Timer ist uber eine Leitung 15 
mit der Steuer- und Regeleinheit verbunden. Paral- 
lel hierzu besteht eine Leitung 16, die die Leitung 
15 zurtick mit der Watchdog-Oberwachungseinheit 

40 verbindet. Es ist ein LeitungsbCindel 17 als Verbin- 
dung von der Steuer- und Regeleinheit zur 
Watchdog-Oberwachungseinheit vorgesehen, eine 
weitere Leitung 18 zurttck von der Watchdog-Ober- 
wachungseinheit zur Steuer- und Regeleinheit. Ge- 

45 maj3 Figur 2 be steht das LeitungsbCindel 17 aus 
wenigstens zwei Leitungen 20 und 21, die zu zwei 
Eingangen 22 und 23 (negiert) eines Und-Gliedes 
24 fuhren, dessen Ausgang die Leitung 14 bildet. 
Die zu dem negierten Einang 23 fuhrende Leitung 

50 21 ist Gber eine Leitung 25 mit einem negierten 
Loscheingang 26 eines Zahlers 27 verbunden. An 
den Zahler ist ein Oszillator 28 uber eine Leitung 
29 angeschlossen. Dem Zahler zugeordnet sind 
zwei Vergleichsstufen Vi beziehungsweise V 2 mit 
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den Bezugszeichen 30 und 31. Ausgange 32 und 
33 der Vergleichsstufen Vi und V 2 sind vorgese- 
hen. Der Ausgang 32 fuhrt zu einem Verzwei- 
gungspunkt 34, von dem die Leitung 18 abgeht 
Die Leitung 16 ist zusammen mit dem Ausgang 33 
auf zwei Eingange eines Und-Gliedes 35 gefuhrt, 
dessen Ausgang 36 mit der Verzweigung 34 ver- 
bunden ist. 

Zur Funktion der Anordnung nach den Figuren 
1 und 2 ist nunmehr die Rgur 3 zu vergieichen, die 
ein Diagramm zeigt 

Es sind Spannungsverlaufe auf den Leitungen 
15, 20, 21 als Funktion der Zeit aufgetragen. 

Die Mikroprozessoreinheit 11 uberwacht den 
Umlaufwasserheizer 1 in alien seinen Funktionen. 
Hierzu zahlen insbesondere die Aufgabe als Flam- 
menwSchter, als Zunder und als Ternperaturregel- 
und -steuereinrichtung. Neben der Steuer- und Re- 
geleinheit 10, in die diese Funktionen alle integriert 
sind, ist auch der Watchdog-Timer 12 zu Uberwa- 
chen, und zwar von der Watchdog-Oberwachungs- 
einheit 13. Hierzu ist vorgesehen, dafi die Steuer- 
und Regeleinheit 10 fortlaufend Impulse 40 er- 
zeugt, die einen bestimmten Abstand voneinander 
aufweisen. Der Abstand dieser Impulse 40 hangt 
vom Programm ab. Diese Impulse erscheinen auf 
der Leitung 20 und werden uber den Eingang 22 
dem Und-GIied 24 zugefuhrt. Auf der Leitung 21 
werden von der Steuer- und Regeleinheit 10 in 
bestimmten Abstanden Testimpulse abgegeben, 
die auf der Leitung 21 erscheinen. Diese Impulse 
schlie/ten zwischen sich eine Zeit von nahezu 24 
Stunden ein. Diese Zeit beruht darauf, dafl bei 
einem fortlaufenden Betrieb der Warmequelle 1 
uber 24 Stunden hinaus definitionsgemafl ein Dau- 
erbetrieb vorliegt, der zu unterbrechen ist, will man 
nicht besondere Sicherheits- und Uberwachungs- 
funktionen auf sich nehmen. Immer wenn auf der 
Leitung 21 kein Impuls vorliegt, laflt das Und-GIied 
24 infolge des negierten Eingangs 23 die Impulse 
auf der Leitung 20 durch und gibt sie auf die 
Leitung 14, das heiflt der Watchdog-Timer wird mit 
diesen Impulsen beaufschlagt. Dieser Zustand ist 
zwischen den Zeitpunkten T 0 und Tt dargesteiit. 
Zum Zeitpunkt Ti wird der eben erwahnte Testim- 
puls auf der Leitung 21 erzeugt, das heiflt, die 
Weitergabe der impulse 40 auf der Leitung 14 an 
den Watchdog-Timer unterbleibt. Damit lauft die im 
Watchdog-Timer 12 vorgesehene monostabile 
Kippstufe weiter, bis die in ihr eingestellte Zeit 
abgelaufen ist. Das ist zum Zeitpunkt T 2 der Fail, 
die Ablaufzeit der monostabilen Kippstufe ist mit 
t WD bezeichnet, sie entspricht dem Zeitraum zwi- 
schen den Zeitpunkten Ti und T 2 . Nach Ablauf 
dieser Zeit erzeugt der Watchdog-Timer auf der 
Leitung 15 ein Resetstgnal, was sowohl der 
Watchdog-Oberwachungseinheit 13 wie auch der 
Steuer- und Regeleinheit 10 zugefuhrt ist. Als Fol- 
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ge von letzterem wird die gesamte Steuer- und 
Regeleinheit 10 zuruckgesetzt, das bedeutet, da/3 
die brennstoffbeheizte Warmequelle 1 aufler Be- 
trieb geht und im Rahmen eines neuen Programm- 

5 zyklus wird sie bei Bestehen eines Warmeanforde- 
rungssignals sofort wieder in Betrieb gehen. Paral- 
lel hierzu wird die Ablaufzeit der monostabilen 
Kippstufe mit einem Zeittoleranzband verglichen, 
was aus einer Mindestzeit und einer Maximumzeit 

io zusammengesetzt ist. Die beiden Zeiten sind als 
T mjn und T^. beginnend vom Zeitpunkt Ti , in der 
Figur 3 dargesteiit. Die GroBe der Minimalzeit T min 
ist so gewahlt, dafl sie grofler ist als der Abstand 
zweier impuise 40. Die maximale Zeit T max ist in 

75 Abhangigkeit von der Fehlertoleranzzeit des von 
dem Mikroprozessor gesteuerten Systems gewahlt. 
Im Falle eines Umlaufwasserheizers entspricht die- 
se Zeit der Zeit, urn die die Sicherheitszeit von 10 
Sekunden maximal verlangert werden darf. Unter 

20 Sicherheitszeit wird die Zeit verstanden, fur die das 
Gasventil 6 bei einem Zundversuch im Maximum 
freigegeben wird, wenn keine Flamme gemeldet 
wird. In Normungsentwurfen ist man bestrebt, die 
Fehlertoleranzzeit auf 1 bis 2 Sekunden festzu- 

25 schreiben. Der Abstand zweier Impulse 40 betragt 
100 ms. die Zeit T mjn ist zu 200 ms gewahlt wor- 
den. 

Der Vergleich geschieht wie folgt: 

Im Moment Ti wird uber die Leitung 25 der 

30 Zahler 27 freigegeben, so daB er mit dem Zahlen 
beginnt. Seine Rucksetzung auf Null erfolgte fru- 
her. Er zahlt nunmehr die uber die Leitung 29 vom 
Oszillator 28 ausgesendeten Impuise. in den Ver- 
gleichsstufen Vi und V 2 sind die Zeiten T m}n und 

35 T max als Zahlerstande gespeichert. Der Vergleicher 
Vi vergleicht, ob die in ihm eingestellte Zeit gro/ter 
ais die dem Zahlerstand des Zahlers 27 entspre- 
chende Zeit ist, und die Vergleichsstufe V 2 ver- 
gleicht, ob die in ihr eingestellte Zeit einem Zahler- 

40 stand des Zahlers 27 entspricht, die kleiner als die 
dort vorliegende Zeit ist. Die Zeit T max entspricht 
dem Zahlerstand der Vergleichsstufe Vt, die Zeit 
T mj „ dem Zahlerstand der Vergleichsstufe V 2 . Nun- 
mehr kann nach Ablauf der Zeit der monostabilen 

45 Kippstufe im Zeitpunkt T 2 festgestellt wer den, ob 
der zu diesem Zeitpunkt herrschende Zahlerstand 
des Zahlers 27 gleich Oder grofler T min ist bezie- 
hungsweise gleich Oder kleiner als T max ist. Als 
Ergebnis dieses Vergleichs erscheint, wenn die 

so Rucksetzzeit der monostabilen Kippstufe grower ist 
als die Zeit T mjnt aber kleiner ist als die Zeit T ma x. 
kein Ausgangsimpuls. Ist die Zeit hingegen kleiner 
als T mjn , wird das Und-GIied 35 dann aktiviert, 
wenn zugleich auf der Leitung 16 ein Resetimpuls 

55 41 gegeben wurde. Dann erfolgt uber die Leitung 
18 eine Storungsmeldung. In diesem Fall erfolgte 
die Resetmeldung zu fruh. Ist die Ruckstellzeit der 
monostabilen Kippstufe hingegen grofler als die 

3 
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Maximumzeit T max , dann erfolgt die Storungsmel- 
dung auf der Leitung 1 8 an die Steuer- und Regel- 
einheit 10, verbunden mit einem Abschalten der 
brennstoffbeheizten Warmequelle 1. 

Abschliefiend soli darauf hingewiesen werden, 5 
dafi die Funktion gemafl dem Blockschaltbild der 
Figur 2 auch als Software-Programm im Mikropro- 
zessor implementiert werden kann. 

Als Watchdog-Timer ist die Oberwachungs- 
schaltung anzusehen, die in regelmafiigen Zeitab- w 
standen pruft ob eine von ihr uberwachte Schal- 
tung arbeitet beziehungsweise ob ein Programmab- 
lauf erfolgt 



Anspruche 



75 



1. Verfahren zum Uberwachen eines einen Mi- 
kroprozessor uberwachenden Watchdog-Timers, 

der eine von Impulsen des Mikroprozessofs ge- 20 
steuerte monostabile Kippstufe aufweist, dadurch 
gekennzeichnet dafi der Watchdog-Timer (12) zyk- 
lisch getestet wird, indem die Impulse (40) des 
Mikroprozessors (11) unterdrtickt und die Zeit (t WD ) 
ab der Unterdruckung (T1) gemessen wird, bis die 25 
monostabile Kippstufe einen Resetimpuls (41) ab- 
gibt, und daJ3 diese Zeit (two) mit einem Toleranz- 
band (T max - T min ) verglichen wird, dessen kurzeste 
Zeit (T mjn ) gleich oder gro/3er ist als die Dauer 
zwischen zwei Impulsen (40) des Mikroprozessors 30 
und dessen langere Zeit in Abhangigkeit der Feh- 
lertoleranzzeit des von dem Mikroprozessor ge- 
steuerten Systems gewahlt ist. 

2. Verfahren nach Anspruch 1, dadurch ge- 
kennzeichnet dafl eine Fehlermeldung abgegeben 35 
wird, wenn die gemessene Zeit (two) nicht inner- 
halb des Toleranzbandes liegt 

3. Verfahren nach Anspruch 1, dadurch ge- 
kennzeichnet, dafi gleichfalls eine Fehlermeldung 
abgegeben wird, wenn der Resetimpuls (41) erst 40 
nach Ablauf der gro/teren Zeit (T max ), Oder uber- 
haupt nicht abgegeben wird. 

4. Vorrichtung zur Durchfuhrung des Verfah- 
rens nach einem der Anspruche 1 bis 3, dadurch 
gekennzeichnet da/5 eine Watchdog-Oberwa- 45 
chungseinrichtung (13) vorgesehen ist, die aus ei- 
nem einem Zahler (27) zugeordneten Oszillator 

(28) besteht, wobei zum Vergleich des Zahlerstan- 
des mit den Zeiten (T mjn /T max ) zwei Vergleichsstu- 
fen (V1 und V2) vorgesehen sind, von denen die 50 
eine direkt mit einer Storungsmeldeleitung (18) und 
die andere mit einem Und-Glied verbunden ist, 
dessen anderer Eingang Resetimpulse (41) fuhrt, 
und dafi der Ausgang (36) dieses Und-Gliedes (35) 
mit der Storungsmeldeleitung (18) verbunden ist. 55 
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© Verfahren zum Uberwachen eines einen Mikro- 
prozessor uberwachenden Watchdog-Timers, der 
eine von Impulsen des Mikroprozessors gesteuerte 
monostabile Kippstufe aufweist. Der Watchdog-Ti- 
mer (12) wird zykusch getestet, indem die Impulse 

(40) des Mikroprozessors (11) unterdruckt und die 
Zeit (two) ab der Unterdruckung (Ti ) gemessen wird, 
bis die monostabile Kippstufe einen Resetimpufs 

(41) abgibt, und da£ diese Zeit (two) mit einem 
Toleranzband (T max - T min ) verglichen wird, dessen 
kurzeste Zeit (T min ) gleich oder gro/ter ist als die 

CODauer zwischen zwei Impulsen (40) des Mikropro- 
^zessors und dessen langere Zeit in Abhangigkeit der 
^ Fehlertoleranzzeit des von dem Mikroprozessor ge- 
iO steuerten Systems gewahlt ist. 
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